「ニトリアプリ」にリスト型攻撃と推測される不正ログイン、約13万2000件の個人情報流出の可能性

　株式会社ニトリホールディングスは9月20日、同社のスマートフォンアプリ「ニトリアプリ」に対する不正ログインを確認したと発表した。

　ニトリアプリのニトリネット認証プログラムに対して、大量のユーザーID（メールアドレス）とパスワード情報を用いたなりすましログインを確認したという。不正ログインの手法は、ニトリグループ以外のサービスから流出したユーザーIDとパスワード情報を用いた、「リスト型アカウントハッキング（リスト型攻撃）」だと推測している。

　不正ログインは9月15日から発生し、これによって会員情報が漏えいした可能性があることが9月19日に判明。不正ログインは9月20日まで行われていたとしている。

　現時点で判明している、不正ログインが行われた可能性のあるユーザーID数は約13万2000件。同社では、該当するアカウントに対してパスワードのリセットを行い、メールで連絡するとしている。また、パスワードを再設定する際には、ほかのサービスなどで利用しているパスワードの使用を避けるようにと呼び掛けている。

　不正ログインが行われた可能性があるのは、以下に該当するユーザー。なお、「シマホネット」「シマホアプリ」は、子会社である島忠のウェブサイトとアプリ。

• ニトリネットにて会員登録したユーザー
• ニトリアプリにて会員登録したユーザー
• シマホネットにてニトリポイント利用手続きをしたユーザー
• シマホアプリにて会員登録したユーザー

　今回の不正ログインで第三者に閲覧された可能性がある情報は以下の通り。クレジットカード決済に必要な情報は同社のシステム上に保持していないため、不正ログインによりクレジットカード決済が行われることはないとしている。

• メールアドレス
• パスワード
• 会員番号
• ニトリメンバーズの保有ポイント数
• 氏名
• 電話番号
• 住所
• 生年月日
• 性別
• 建物種別（戸建／集合住宅）
• エレベーター有無
• 一部が目隠しされたクレジットカード番号
• 有効期限